信息安全管理实践.ppt

,Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,信息安全管理实践,孙昌平,1,什么是信息安全,信息本身的机密性（,Confidentiality,）、完整性（,Integrity,）和可用性（,Availability,）的保持，即防止防止未经授权使用信息、防止对信息的非法修改和破坏、确保及时可靠地使用信息。,保密性：,确保信息没有非授权的泄漏，不被非授权的个人、组织和计算机程序使用,完整性：,确保信息没有遭到篡改和破坏,可用性：,确保拥有授权的用户或程序可以及时、正常使用信息,2,什么是管理？,ISO9000:2000,质量管理体系 基础和术语,管理,management,：指挥和控制组织的协调的活动,管理学,管理是指通过计划、组织、领导、控制等环节来协调人力、物力、财力等资源，以期有效达成组织目标的过程。,3,什么是信息安全管理？,组织中为了完成,信息安全目标,，针对,信息系统,，遵循安全策略，按照规定的程序，运用恰当的方法，而进行的,规划、组织、指导、协调和控制,等活动,规则,人员,目标,组织,信息输入,立法,摘要,变化？,关键活动,测量,拥有者,资 源,记录,标 准,输入,输出,生 产,经 营,过程,4,信息安全管理体系,加强信息安全管理工作的通用方法,构建信息安全管理体系（ISMS）,“,信息安全管理体系（ISMS）,”,已经成为一个专有名词，它作为组织整体管理体系的一部分，基于业务风险方法建立、实施、运行、监视、评审、保持和改进信息安全。,5,安全管理工作都是过程,首先将信息安全管理体系看成由一系列过程构成,活动,测量、改进,责任人,资 源,记 录,输入,输出,6,这些过程是可以细化分解的,信息输入,信息输出,信息记录,资源,人,环境,设备,工具,通信,其他,立法,规定,客户,集团,政治,标准,程序,摘要,收据,客户,销售发票,等等,变化？,关键活动,测量,拥有者,资 源,记录,标 准,输入,输出,生 产,经 营,信息输入,信息输出,信息记录,资源,人,环境,设备,工具,通信,其他,立法,规定,客户,集团,政治,标准,程序,摘要,收据,客户,销售发票,等等,变化？,关键活动,测量,拥有者,资 源,记录,标 准,输入,输出,生 产,经 营,信息输入,信息输出,信息记录,资源,人,环境,设备,工具,通信,其他,立法,规定,客户,集团,政治,标准,程序,摘要,收据,客户,销售发票,等等,变化？,关键活动,测量,拥有者,资 源,记录,标 准,输入,输出,生 产,经 营,信息输入,信息输出,信息记录,资源,人,环境,设备,工具,通信,其他,立法,规定,客户,集团,政治,标准,程序,摘要,收据,客户,销售发票,等等,变化？,关键活动,测量,拥有者,资 源,记录,标 准,输入,输出,生 产,经 营,活动,测量、改进,7,要让这些过程不断改进,PDCA,循环是能使任何一项活动有效进行的工作程序,:,P,：规划,D,：实施,C,：检查,A,：处置,规划,实施,检查,处置,P,D,A,C,8,将,PDCA,模型应用到信息安全管理体系建设中,相关方,受控的,信息安全,信息安全,要求和期望,相关方,检查Check,建立ISMS,实施和,运行ISMS,保持和,改进ISMS,监视和,评审ISMS,规划Plan,实施,Do,处置,Act,9,ISMS,信息安全管理体系,ISMS,是一个系统化、过程化的管理体系，体系的建立需要全面、系统、科学的风险评估、制度保证和有效监督机制。,ISMS,应该体现预防控制为主的思想，强调遵守国家有关信息安全的法律法规，强调全过程的动态调整，从而确保整个安全体系在有效管理控制下，不断改进完善以适应新的安全需求。,在信息安全管理体系的各环节中，安全需求是前提，运作实施、监视评审和维护改进是重要步骤，而可管理的信息安全是最终的目标。,10,信息安全风险管理,信息安全风险管理,是信息安全管理的重要部分,是规划、建设、实施及完善信息安全管理体系的基础和主要目标。,其核心内容包括,风险评估,和,风险控制,两个部分。,风险管理的,概念来源于商业领域,，主要指对商业行为或目的投资的风险进行分析、评估与管理，力求以最小的风险获得最大的收益。,11,风险评估,风险评估主要包括风险分析和风险评价,风险分析：,全面地识别风险来源及类型；,风险评价：,依据风险标准估算风险水平,确定风险的严重性。,与信息安全风险有关的因素：,资产：,是指对组织具有价值的信息资源，是安全策略保护的对象。,威胁：,主要指可能导致资产或组织受到损害的安全事件的潜在因素。,脆弱性：,一般指资产中存在的可能被潜在威胁所利用的缺陷或薄弱点，如操作系统漏洞等。,安全控制：,是指用于消除或减低安全风险所采取的某种安全行为，包括措施、程序及机制等。,12,风险评估的目的和意义,认识现有的资产及其,价值,对信息系统安全的各个方面的当前潜在威胁、弱点和影响进行全面的,评估,通过安全评估，能够清晰地了解当前所面临的安全风险，清晰地了解信息系统的,安全现状,明确地看到当前安全现状与安全目标之间的,差距,为下一步控制和降低安全风险、改善安全状况提供客观和详实的,依据,13,信息安全风险因素及相互关系,14,风险计算依据,15,风险分析原理,对资产进行识别，并对资产价值进行赋值,对威胁进行识别，描述威胁的属性，并对威胁出现的频率赋值,对资产的脆弱性进行识别，并对具体资产的脆弱性的严重程度赋值,根据威胁及威胁利用弱点的难易程度判断安全事件发生的可能性,根据脆弱性的严重程度及安全事件所作用资产的价值计算安全事件的损失,计算安全事件一旦发生，对组织的影响，即风险值,16,风险描述,风险可以描述成关于,威胁发生概率,和发生时的,破坏程度,的函数，用数学符号描述如下：,由于某组织部门可能存在很多资产和相应的脆弱性，故该,组织的资产总风险,可以描述如下：,上述关于风险的数学表达式，只是给出了风险评估的概念性描述。,因为存在威胁,Ti,而使资产,Ai,具有的风险，,Ti,为针对资产,Ai,的脆弱性,Vi,的威胁,威胁,Ti,发生的概率,威胁,Ti,发生时的破坏程度,17,风险评估的任务,识别组织面临的各种风险，了解总体的安全状况；,分析计算风险概率，预估可能带来的负面影响；,评价组织承受风险的能力，确定各项安全建设的优先等级；,推荐风险控制策略，为安全需求提供依据。,风险评估的操作范围可以是,整个组织,，也可以是组织中的,某一部门,，或者独立的信息系统、特定系统组件和服务等。,18,常见的风险评估方法,基线评估（,Baseline Assessment,）,:,基本风险评估,就是有关组织根据其实际情况（所在行业、业务环境与性质等），对信息系统进行安全基线检查（将现有的安全措施与安全基线规定的措施进行比较，计算之间的差距），得出基本的安全需求，给出风险控制方案。,基线：就是在诸多标准规范中确定的一组安全控制措施或者惯例，这些措施和惯例可以满足特定环境下的信息系统的基本安全需求，使信息系统达到一定的安全防护水平。,选择安全基线,等级保护税标,总局安全检查标准,其它国际标准,19,基线评估（,Baseline Assessment,）,:,基本风险评估,优点,：,需要的资源少、周期短、操作简单，是经济有效的风险评估途径。,同样或类似的控制能被许多信息安全管理体系所采用，不需要耗费很大的精力。,缺点,：,基线水准的高低难以设定，过高导致资源浪费和限制过度，过低可能难以达到所需的安全要求。,管理与安全相关的变更可能有困难。,20,详细评估,Detailed Assessment,指组织对信息资产进行,详细识别和评价,，对可能引起风险的威胁和脆弱性进行,充分地评估,，根据全面系统的风险评估结果来确定安全需求及控制方案。,具体程序：,对资产、威胁和脆弱性进行测量与赋值,使用适当的风险测量方法完成风险计算和测量,优点：,可以通过详细的风险评估对信息安全风险有较全面的认识，能够准确确定目前的安全水平和安全需求,可从详细的风险评估中获得额外信息，使与组织变革相关的安全管理受益,缺点：,非常耗费时间、精力和技术的过程，组织应该仔细设定待评估的信息资产范围，以减少工作量。,21,组合评估,组合评估要求首先对所有的系统进行一次初步的风险评估，依据各信息资产的实际价值和可能面临的风险，划分出,不同的评估范围,，对于具有较高重要性的资产部分采取,详细风险评估,，而其它部分采用,基线风险评估,。,优点：,将两种评估的优势结合起来，既节省了评估所耗费的资源，又能确保获得一个全面系统的评估结果,组织的资源和资金能够应用到最能发挥作用的地方，具有高风险的信息系统能够被优先关注,缺点,：如果初步的高级风险评估不够准确，可能导致某些本需要详细评估的系统被忽略。,22,风险评估的输出结果,23,资产识别表,反映了资产名称、描述范围、重要性程度、部门、所属业务流程等,风险评估的输出结果,重要资产列表,反映了资产名称、描述范围、机密性、可用性、完整性评分等级、资产与信息安全系数关系、所属业务流程,24,风险评估的输出结果,威胁列表,反映了资产名称、面临的威胁类、具体可能的威胁,脆弱性识别表,反映了脆弱性分类、脆弱性详细描述、严重程度、与威胁的对应关系、可能影响的资产,25,风险评估的输出结果,资产风险表,反映了资产名称、面临的威胁、可能被威胁利用的脆弱性、威胁发生的可能性、威胁的影响程度,风险处理计划,反映了资产名称、威胁,/,薄弱点、风险系数、处理措施、优先处理等级等,26,风险控制,风险控制是信息安全风险管理在风险评估完成之后的另一项重要工作,风险控制任务,：对风险评估结论及建议中的各项安全措施进行分析评估，确定优先级以及具体实施的步骤。,风险控制的目标,：是将安全风险降低到一个可接受的范围内,消除所有风险往往是不切实际、近乎不可能的,安全管理人员有责任运用,最小成本,来实现,最合适,的控制，使潜在安全风险对该组织造成的负面影响,最小化,。,27,实施风险控制,中,28,风险确认与接收,为确保组织的信息安全，残余风险应在可接受范围内,29,风险控制手段,风险承受,是指运行的信息系统具有良好的健壮性，可以接受潜在的风险并稳定运行，或采取简单的安全措施，就可以把风险降低到一个可接受的级别。,风险规避,是指通过消除风险出现的必要条件（如识别出风险后，放弃系统某项功能或关闭系统）来规避风险。,风险转移,是指通过使用其它措施来补偿损失，从而转移风险，如购买保险等。,30,安全风险系统判断过程,31,风险控制具体做法,当存在系统脆弱性时，,减少或修补系统脆弱性,，降低脆弱性被攻击利用的可能性；,当系统脆弱性可利用时，运用层次化保护、结构化设计以及管理控制等手段，,防止脆弱性被利用或降低被利用后的危害程度,；,当攻击成本小于攻击可能的获利时，运用保护措施，通过,提高攻击者成本,来降低攻击者的攻击动机，如加强访问控制，限制系统用户的访问对象和行为，降低攻击获利；,当风险预期损失较大时，优化系统设计、加强容错容灾以及运用非技术类保护措施来限制攻击的范围，从而,将风险降低到可接受范围,。,32,具体的风险控制措施,类别,措施,属性,技术类,身份认证技术,加密技术,防火墙技术,入侵检测技术,系统审计,蜜罐、蜜网技术,预防性,预防性,预防性,检查性,检查性,纠正性,运营类,物理访问控制，如重要设备使用授权等；,容灾、容侵，如系统备份、数据备份等；,物理安全检测技术，防盗技术、防火技术等；,预防性,预防性,检查性,管理类,责任分配,权限管理,安全培训,人员控制,定期安全审计,预防性,预防性,预防性,预防性,检查性,以计算机及网络技术为基础的直接消除或降低安全风险水平的控制措施,以设备管理、容灾容侵和物理安全为核心的控制措施,以人员管理为核心的控制措施,33,风险控制实施流程,NIST SP800,系列标准,第一步,对实施控制措施的优先级进行排序,，分配资源时，对标有不可接受的高等级的风险项应该给予较高的优先级；,第二步,评估所建议的安全选项,，风险评估结论中建议的控制措施对于具体的单位及其信息系统可能不是最适合或最可行的，因此要对所建议的控制措施的可行性和有效性进行分析，选择出最适当的控制措施；,第三步,进行成本效益分析,，为决策管理层提供风险控制措施的成本效益分析报告；,第四步,在成本效益分析的基础上，,确定即将实施,的成本有效性最好的,安全措施,；,34,第五步,遴选出,那些拥有合适的专长和技能，可实现所选控制措施的,人员,（内部人员或外部合同商），并赋以相应责任；,第六步,制定控制措施的实现计划,，计划内容主要包括风险评估报告给出的风险、风险级别以及所建议的安全措施，实施控制的优先级队列、预期安全控制列表、实现预期安全控制时所需的资源、负责人员清单、开始日期、完成日期以及维护要求等；,第七步,分析计算出残余风险,，风险控制可以降低风险级别，但不会根除风险，因此安全措施实施后仍然存在的残余风险。,风险控制实施流程,NIST SP800,系列标准,35,ISO/IEC 27000标准是国际标准化组织专门为信息安全管理体系建立的一系列相关标准的总称,。,ISO/IEC 27001,：,2005,是,信息技术 安全技术 信息安全管理体系 要求,，等同转化为中国国家标准,GB/T 22080-2008/ISO/IEC27001:2005,，于,2008,年,6,月,19,发布，同年,11,月,1,日正式实施。,ISO/IEC 27002:2005,是,信息技术 安全技术 信息安全管理实用规则,，等同转化为中国国家标准,GB/T 22081-2008/ISO/IEC 27002:2005,，也是,ISO/IEC 27000,系列最核心的两个标准之一。,2013,年,10,月,19,日修订,2005,版，正式使用,2013,版。,ISMS,标准,36,ISO/IEC 27000标准族,37,新标准特点,附录,A,中将旧版,11,个控制领域拓展到,14,个，结构更合理，表现更清晰。,附录,A,中将旧版,133,个控制项缩减到,113,个（未来仍可能有改动）。,将通信与操作管理领域拆分为通信安全与操作安全两个领域，比旧版标准更清晰的反应了实际的需求。,将旧版业务连续性管理更新为信息安全方面的业务连续性管理，表述更准确。,通过合并重复的控制项来精炼控制项的构成（如变更管理在不同的领域中有重复就予以合并）。,38,附录,A,控制领域的变化,39,控制项的增删与调整,40,信息安全管理措施,ISO27002,41,1.,信息安全策略,信息安全的管理方向,目标：根据业务要求和相关法律法规的要求提供管理方向，支持信息安全。,信息安全策略,信息安全策略的评审,42,信息安全策略,在最高级别上，定义,“,信息安全方针,”,。,在较低级别，信息安全方针由特定主题的策略加以支持，这些策略进一步强化了信息安全控制措施的执行，并且通常以结构化的形式处理某些目标群体的需求或涵盖某些主题。,访问控制,备份,信息分类（和处理）,物理和环境安全,恶意软件防范,。,信息安全策略集由管理者定义、批准、发布并传达给员工和相关外部方。,43,信息安全策略的评审,信息安全策略应按计划的时间间隔或当重大变化发生时进行评审，以确保其持续的适宜性、充分性和有效性。,44,税务系统网络与信息安全总体策略,45,2.,信息安全组织,内部组织,目标：为有效实施信息安全管理，保障和实施税务系统的信息安全，在税务系统内部建立的组织架构。,在一个机构中，安全角色与责任的不明确是实施信息安全过程中的最大障碍，建立安全组织与落实责任是实施信息安全管理的第一步。,移动设备和远程工作,目标：确保远程工作和使用移动设备时的安全。,46,内部组织,信息安全角色和职责,对所有的信息安全职责予以定义和分配,高层管理者参与（如本单位信息化领导小组），负责重大决策，提供资源并对工作方向、职责分配给出清晰的说明,不仅仅由信息化技术部门参与，与信息安全相关的部门（如行政、人事、安保、采购、外联）都应参与到组织体系中各司其责，协调配合,职责分离,分离相冲突的责任及职责范围，以降低未授权或无意识的修改或者不当使用资产的机会。,与政府部门的联系,充分利用外部资源，与上级主管单位、国家职能部门、设备和基础设施提供商保持良好的沟通和合作关系。,与特定利益集团的联系,与安全服务商、其他安全论坛和专业协会、有关专家保持适当的联系。,项目管理中的信息安全,将信息安全整合到项目管理中，分配给项目管理方法中定义的指定角色的信息安全职责，定期处理和评审信息安全影响。,47,移动设备和远程工作,移动设备策略,采用策略和支持性安全措施来管理由于使用移动设备带来的风险,在公共场所、会议室和其他不受保护的区域使用移动设备时，要加以小心,对移动设备进行物理保护，以防被偷窃,远程工作,远程工作是指在办公场所外工作的所有形式，如被称为,“,远程办公,”,、,“,弹性工作点,”,、,“,远程工作,”,和,“,虚拟工作,”,等环境。一般通过利用通信技术来实现远程工作。,实施策略和支持性安全措施来保护在远程工作场地访问、处理或存储的信息。,48,3.,人力资源安全,任用之前,目标：确保雇员和承包方人员理解其职责、适合让其承担的角色。,任用中,目标：确保雇员和承包方人员知悉并履行其信息安全职责。,任用的终止或变更,目标：将保护组织利益作为变更或终止任用过程的一部分。,49,任用之前,审查,对担任敏感和重要岗位的人员要考察其身份、学历和技术背景、工作履历和以往的违法违规记录,对于承包方人员也应执行审查过程,任用条款和条件,要在合同或专门的协议中，与雇员和承包方人员明确其信息安全职责,明确人员遵守安全规章制度、执行特定的信息安全工作、报告安全事件或潜在风险的责任,50,任用中,管理职责,所有员工和承包方人员按照已建立的策略和规程保证信息安全。,激励员工遵从组织的信息安全策略,信息安全意识、教育和培训,保证所有员工（部分承包方人员）受到与其工作职能相关的适当的意识培训和组织策略及规程的定期更新培训。,纪律处理过程,具有一个正式的、已传达的纪律处理过程，对信息安全违规的雇员采取惩戒措施,51,任用的终止或变更,任用终止或变更的职责,终止职责，通知相关人员人事变化，明确离职后仍需遵守的责任规定,归还资产，保证离职人员归还软件、电脑、存储设备、文件和其他设备,撤销访问权限，撤销用户名、门禁卡、秘钥、数字证书等,52,4,、资产管理,对资产负责,目标：识别资产，并定义适当的保护职责,信息分类,目标：确保信息按照其对组织的重要性受到适当级别的保护。,介质处置,目标：防止存储在介质上的信息遭受未授权泄露、修改、移动或销毁。,53,对资产负责,资产清单,列出资产清单，明确保护对象,资产所有权,指定资产的所有权，,明确谁对资产的安全负责。,识别其类别，,明确资产受保护的程度,资产所有者宜负责在整个资产生命周期内对资产进行适当管理。,资产的可接受使用,使用或访问组织资产的内部和外部方人员应了解资产使用信息安全要求。他们对其所有信息处理资源的使用行为负责，这种使用不能超出其职责范围。,资产的归还,所有的雇员和外部方人员在终止任用、合同或协议时，宜归还他们使用的所有组织资产。,54,信息分类,信息的分类,按照法律要求、价值、关键性以及对未授权泄露或修改的敏感性予以分类。,信息资产的所有者对他们的分类负有责任。,信息的标记,按照信息分类机制建立和实施一组合适的信息标记规程。,包含分类为敏感或关键信息的系统输出应在该输出中携带合适的分类标记。,信息的处理,按照信息分类机制建立和实施处理资产的规程。,55,介质处置,可移动介质的管理,建立移动介质管理办法，对可移动介质的登记、数据存储、数据保密、审计等进行管理。,介质的处置,不再需要的介质，应使用正式的规程可靠并安全地处置。,物理介质传输,在运送包含信息的介质，,应,防止未授权的访问、不当使用或毁坏。,当介质中的保密信息没有加密时，应考虑附加的物理保护手段。,56,5,、访问控制,访问控制的业务要求,目标：限制对信息和信息处理设施的访问。,用户访问管理,目标：确保授权用户访问系统和服务，并防止未授权的访问。,用户职责,目标：使用户承担保护鉴别信息的责任。,系统和应用访问控制,目标：防止对系统和应用的未授权访问。,57,访问控制的业务要求,访问控制策略,资产所有者为特定用户角色访问其资产确定适当的访问控制规则、访问权限和限制。,访问控制包括逻辑的和物理的措施。,提供一份满足访问控制要求的清晰说明。,访问控制策略的两个常用原则：需要则知道、需要则使用,网络和网络服务的访问,使用户仅能访问已获专门授权使用的网络和网络服务,控制到敏感或关键业务应用的网络连接或与高风险位置的用户的网络连接,58,用户访问管理,用户注册及注销,实施正式的用户注册及注销规程，分配访问权限,使用唯一用户,ID,，撤销或禁用多余的用户,ID,或权限,用户访问开通,规定用户访问开通过程，分配或撤销系统和服务所有用户类型的访问权限,特殊访问权限管理,限制和控制特殊访问权限的分配及使用,日常业务活动不宜使用特权账户执行,用户秘密鉴别信息管理,口令是一种常用的秘密鉴别信息，其他还包括密钥和智能卡等,用户访问权限的复查,资产所有者定期复查用户的访问权限,撤销或调整访问权限,在任用、合同或协议终止时撤销相关用户的访问权限，或在变化时调整使用权限,59,用户职责,使用秘密鉴别信息,个人的登录口令足够复杂，不告诉他人,下班或长时间离开，要锁好重要文件，关闭计算机,打印保密文件应守在打印机旁,谈论秘密事项注意场合,通过单点登录（,SSO,）或者其他加密鉴别信息管理工具减少了要求用户保护的加密鉴别信息量，增加了这一控制措施的有效性。,60,系统和应用访问控制,信息访问限制,基于各个业务应用要求和已定义的访问控制策略限制对信息和应用系统功能的访问,提供应用系统控制访问功能的选择菜单、限制输出所包含的的信息等,安全登录规程,选择适当的鉴别方法，证明用户所宣称的身份,设计合适的安全登录规程，最少公开有关系统或应用的信息，避免给未授权用户提供任何不必要的帮助,口令管理系统,通过口令管理系统确保用户使用优质的口令,特殊权限实用工具软件的使用,严格控制可能超越系统和应用程序控制措施的工具软件的使用,对程序源代码的访问控制,限制访问程序源代码,如果需要公布程序源代码，应考虑确保程序源代码完整性的附加控制措施（例如数字签名）,61,6,、,密码学,密码控制,目标：恰当和有效的利用密码学保护信息的保密性、真实性或完整性。,使用密码控制的策略,开发和实施使用密码控制措施来保护信息的策略，确定使用的标准、秘钥的管理、对其它控制措施的影响,实施密码策略时，应考虑我国应用密码技术的规定和限制,密钥管理,开发和实施贯穿整个密钥生命周期的关于密钥使用、保护和生存期的策略。,选择适当的加密算法、密钥长度和使用规则,与外部密码服务提供者（例如认证机构）签订服务协议或合同,62,7,、物理和环境安全,安全区域,目标：防止对组织场所和信息的未授权物理访问、损坏和干扰。,设备,目标：防止资产的丢失、损坏、失窃或危及资产安全以及组织活动的中断。,63,安全区域,物理安全周边,定义安全周边和所保护的区域，包括敏感或关键的信息和信息处理设施的区域，采用合适的物理控制措施。,物理入口控制,通过适当的入口控制保护安全区域，确保只有授权人员才允许访问。,办公室、房间和设施的安全保护,为办公室、房间和设施设计并采取物理安全措施。,外部和环境威胁的安全防护,防止自然灾难、恶意攻击或事件，设计和采取必要的物理保护措施,在安全区域工作,在安全区域工作的安排包括对工作在安全区域内的雇员和外部方人员的控制，以及对其他发生在安全区域的所有活动的控制。,交接区安全,控制交接区访问人员随意进入办公场所的其他地点,64,设备,设备安置和保护,支持性设施,包括电、通信、供水、供气、排污、通风和空调等,线缆安全,设备维护,资产的移动,场外设备和资产的安全,设备的安全处置或再利用,无人值守的用户设备,清空桌面和屏幕策略,65,8,、,操作安全,操作规程和职责,目标：确保正确、安全地操作信息处理设施。,恶意软件防护,目标：确保对信息和信息处理设施进行恶意软件防护。,备份,目标：防止数据丢失。,日志和监视,目标：记录事态和生成证据。,运行软件的控制,目标：确保运行系统的完整性。,技术脆弱性管理,目标：防止技术脆弱性被利用。,信息系统审计考虑,目标：将运行系统审计活动的影响最小化。,66,操作规程和职责,文件化的操作规程,操作规程形成文件并对所有需要的用户可用。,变更管理,运行系统和应用软件应有严格的变更管理控制。,容量管理,对资源的使用加以监视、调整，并作出对未来容量要求的预测，确保拥有所需的系统性能。,开发、测试和运行环境分离,分离开发、测试和运行环境，减少未授权访问或运行环境变更的风险。,67,恶意软件防护,控制恶意软件,基于恶意代码检测、修复软件、安全意识、适当的系统访问和变更管理控制措施防范恶意软件。,单独使用恶意软件检测或修复软件作为恶意软件控制措施是不充分的，通常需要配有防止恶意软件引入的操作规程。,68,备份,信息备份,按照已设的备份策略，定期备份和测试信息、软件及系统镜像。,监视备份的执行过程，并处理定期备份中的故障，以确保按照备份策略完成备份。,定期测试各个系统和服务的备份，确保它们满足业务连续性计划的要求。,对于关键的系统和服务，应备份在发生灾难时恢复整个系统所必要的所有系统信息、应用和数据。,69,日志和监视,事态记录,记录用户活动、异常情况、故障和信息安全事态的事态日志，并保持定期评审。,日志信息的保护,保护记录日志的设施和日志信息，防止篡改和未授权的访问。,管理员和操作员日志,系统管理员和系统操作员的活动应记入日志，保护日志并定期评审。,时钟同步,使用单一参考时间源同步所有相关信息处理设施的时钟。,70,运行软件的控制,在运行系统上安装软件,通过规程来控制在运行系统上安装软件。,在运行系统中所使用的由厂商供应的软件应在供应商支持的级别上加以维护。软件供应商停止支持旧版本的软件时，应考虑依赖于这种软件的风险。,在决定升级到新版时，应考虑变更的业务要求和新版软件的安全。,71,技术脆弱性管理,技术脆弱性的控制,及时得到现有信息系统技术脆弱性的信息，评价这些脆弱性的暴露程度，并采取适当的措施来处理相关的风险。,限制软件安装,建立和实施软件安装的用户管理规则。,确定什么类型软件允许安装和什么类型软件禁止安装。,72,9,、通信,安全,网络安全管理,目标：确保网络中信息的安全性并保护支持性信息处理设施。,信息传递,目标：保持组织内以及与组织外信息传递的安全。,73,网络安全管理,网络控制,管理和控制网络，保护系统中信息和应用程序的安全。,限制随意接入网络。,网络服务安全,网络服务包括接入服务、私有网络服务、增值网络和受控的网络安全解决方案，如防火墙和入侵检测系统。,网络隔离,将网络分成独立的网络域，隔离信息服务、用户及信息系统。,将所有无线访问作为外部连接处理,74,信息传递,信息传递策略和规程,通过正式的传递策略、规程和控制措施，保护使用各种类型通信设施的信息传递。,不要在公共场所、开放办公室和会场以及不要通过不安全的通信渠道进行保密会谈。,信息传递协议,与第三方进行业务信息的传递时签署安全协议。,电子消息发送,对包含在电子消息中发送的信息给予适当的保护。,保密性或不泄露协议,与第三方人员签署保密协议和保密承诺书。,75,10,、,系统获取、开发和维护,信息系统的安全要求,目标：确保信息安全是信息系统整个生命周期中的一个有机组成部分。,开发和支持过程中的安全,目标：确保进行信息安全设计，并确保其在信息系统开发生命周期中实施。,测试数据,目标：确保保护测试数据。,76,信息系统的安全要求,信息安全要求分析和说明,信息安全要求的识别和处理以及相关的过程应在信息系统项目的早期阶段考虑。,购买产品时，与供应商签订的合同中应给出已确定的安全要求。如果推荐的产品的安全功能不能满足安全要求，在购买产品之前应重新考虑引入的风险和相关控制措施。,公共网络应用服务安全,保护公共网络中的应用服务信息，防止欺骗行为、合同纠纷、未授权泄露和修改。,常用的控制措施包括身份鉴别和数据安全传递的加密方法。,保护应用服务交易,保护涉及应用服务交易的信息，防止不完整传送、错误路由、未授权消息变更、未授权泄露、未授权消息复制或重放。,77,开发和支持过程中的安全,安全开发策略,建立软件和系统开发规则，并应用于组织内的开发。,系统变更控制规程,通过使用正式变更控制程序控制开发生命周期中的系统变更。,运行平台变更后应用的技术评审,当运行平台发生变更时，应对业务的关键应用进行评审和测试，以确保对组织的运行和安全没有负面影响。,软件包变更的限制,尽量不修改软件包，且对所有的变更加以严格控制。,78,开发和支持过程中的安全,安全系统工程原则,建立、记录和维护安全系统工程原则，并应用到任何信息系统实施工作中。,安全开发环境,建立并适当保护系统开发和集成工作的安全开发环境。,外包开发,管理和监视外包系统开发活动,系统安全测试,在开发过程中，进行安全功能测试,系统验收测试,建立验收测试方案和准则，验收测试新建信息系统和新版本升级系统。,79,测试数据,系统测试数据的保护,测试数据应认真地加以选择、保护和控制。,80,11,、,供应关系,供应商关系的信息安全,目标：确保保护可被供应商访问的单位资产。,供应商服务交付管理,目标：保持符合供应商交付协议的信息安全和服务交付的商定水准。,81,供应商关系的信息安全,供应商关系的信息安全策略,为减缓供应商访问单位资产带来的风险，与供应商协商并记录相关信息安全要求。,处理供应商协议中的安全问题,与每个可能访问、处理、存储单位信息、与单位进行通信或为单位提供,IT,基础设施组件的供应商建立并协商所有相关的信息安全要求。,信息和通信技术供应链,供应商协议中包含信息和通信技术服务以及产品供应链相关信息安全风险处理的要求。,在整个供应链中可跟踪关键组件及其来源,信息和通信技术供应链包括云计算服务,82,供应商服务交付管理,供应商服务的监视和评审,定期监视、评审和审核供应商服务交付。,对供应商访问、处理或管理的敏感、关键信息或信息处理设施的所有安全方面保持充分的、全面的控制和可见度。,供应商服务的变更管理,管理供应商提供服务的变更，保持和改进现有的信息安全策略、规程和控制措施，考虑对业务信息、系统和涉及过程的关键程度及风险的再评估,83,12,、,信息安全事件管理,信息安全事件和改进的管理,目标：确保采用一致和有效的方法对信息安全事件进行管理，包括安全事件和弱点的传达。,84,信息安全事件和改进的管理,职责和规程,建立管理职责和规程，以确保快速、有效和有序地响应信息安全事件,报告信息安全事态,信息安全事态宜尽可能快地通过适当的管理渠道进行报告,报告信息安全弱点,工作人员应记录并报告他们观察到的或怀疑的任何系统或服务的安全弱点。,85,信息安全事件和改进的管理,评估和确定信息安全事态,确定是否划分成信息安全事件,信息安全事件响应,事件响应的首要目标是恢复到,“,正常安全水平,”,，然后启动必要的纠正措施。,对信息安全事件的总结,降低将来事件发生的可能性或影响,证据的收集,定义和应用识别、收集、获取和保存可以作为证据的信息的程序。,86,1,3,、信息安全方面的,业务连续性管理,信息安全连续性,目标：组织的业务连续性管理体系中应体现信息安全连续性。,冗余,目标：确保信息处理设施的有效性。,87,信息安全连续性,信息安全的连续性计划,确定不利情况下（如危机或危难时）信息安全的要求和信息安全管理连续性。,实施信息安全连续性计划,建立文件化的过程、规程和控制措施，保证在负面情况下的信息安全连续性级别。,验证、评审和评价信息安全连续性计划,定期验证已制定和实施信息安全业务连续性计划的控制措施，确保在负面情况下控制措施的及时性和有效性。（演练）,88,冗余,信息处理设施的可用性,信息处理设备应冗余部署，以满足高可用性需求。,识别信息系统可用性的业务需求，如果现有系统框架不能保证可用性，应考虑冗余组件或架构。,在适当的情况下，对冗余信息系统进行测试，以确保在故障发生时可以顺利。,89,1,4,、符合性,符合法律和合同要求,目标：避免违反任何法律、法令、法规或合同义务以及任何安全要求。,信息安全评审,目标：确保信息安全实施及运行符合单位策略和程序。,90,符合法律和合同要求,可用法律及合同要求的识别,对所有相关的法律依据、法规和合同要求，以及为满足这些要求所采用的方法，加以明确地定义、形成文件并保持更新。,知识产权,实施适当的规程，以确保相关的知识产权和所有权的软件产品的使用，符合法律、法规和合同的要求。,保护记录,防止记录的遗失、毁坏、伪造、非授权访问和非授权删除，以满足法令、法规、合同和业务的要求。,隐私和个人身份信息保护,隐私和个人身份信息保护应确保符合相关法律、法规的要求。,密码控制措施的规则,使用密码控制措施宜遵从相关的协议、法律和法规。,91,信息安全评审,独立的信息安全评审,定期或发生较大变更时对组织的信息安全处置和实施方法（即控制目标、控制、策略、过程和信息安全程序）进行评审。,该评审由独立于所评审领域范围内的人员开展，如内部审核部门、独立的管理者或者专业的外部评审机构。从事评审活动的人员应具有一定的技能和经验。,符合安全策略和标准,定期对所辖职责范围内的信息安全过程和规程评审，确保符合相应的安全政策、标准及其他安全要求。,技术符合性评审,使用渗透测试或脆弱性评估等技术手段定期评审信息系统是否符合单位的信息安全政策和标准。,92,安全管理员的定位,具体负责安全管理工作,对上行使安全建议权,对下行使安全管理权,是安全管理链条中不可或缺的部分,责任大、任务重、管理难度高,93,安全管理员职责,负责安全产品的购置，负责组织制定各种安全产品策略与配置规则，负责跟踪安全产品投产后的使用情况；,负责指导并监督系统管理员（包括主机系统管理员、网络管理员、数据库管理员和应用管理员等）及普通用户与安全相关的工作；,负责组织信息系统的安全风险评估工作，并定期进行系统漏洞扫描，形成安全评估报告；,根据本单位的信息安全需求，定期提出本单位的信息安全改进意见，并上报信息安全管理部门主管；,定期查看信息安全站点的安全公告，跟踪和研究各种信息安全漏洞和攻击手段，在发现可能影响信息安全的安全漏洞和攻击手段时，及时做出相应的对策，通知并指导系统管理员进行安全防范；,负责组织审议各种安全方案、安全审计报告、应急计划以及整体安全管理制度；,负责参与安全事故调查。,94,安全管理员工作,安全产品采购、安全策略规划、项目实施,安全保障体系中安全产品的日常运维（产品健康度、安全策略的变更）,安全指导和监督（对下级单位、系统管理员、普通用户）,安全检查评估工作，包括等级保护定级、备案、测评、整改；安全风险识别、应对；组织实施安全检查,安全方案、安全审计报告、应急计划、安全管理制度等文档的审议和推进。,安全事件的调查、应急处置、报告,安全意识教育,安全绩效考核,安全标准规范的跟进、学习，信息安全漏洞和攻击手段的跟踪和研究,95,安全管理的几点看法,全生命周期的系统安全管理,信息系统与信息安全同步规划、设计、建设,重点解决安全需求落地的问题,总局,应用系统安全审核规范,96,安全管理的几点看法,风险管理的理念,提前发现风险,在风险形成事件前降低或消除风险，至少形成应急预案,变救火队式的事件驱动安全管理为主动安全管理,抓主要矛盾，重点解决主要问题（网上办税、安全,U,盘）,发现风险的方式（日常安全系统的监控、定期的评估、检查、网络新闻的跟踪、第三方机构的信息）,处置风险的技巧（及时汇报